Antivirus
Descubren fallos en las contraseñas de Firefox y Thunderbird
El error se detectó hace 9 años, pero no se tomaron medidas
Expertos de la Oficina de Seguridad del Internauta (OSI) han detectado un fallo de seguridad en el sistema de almacenamiento de contraseñas que ofrecen Firefox y Thunderbird a sus usuarios. Este sistema permite, mediante una contraseña maestra, cifrar las contraseñas guardadas en el navegador o cliente de correo, de forma que todas ellas queden protegidas.
Sin embargo, se ha descubierto que el cifrado no se realiza de forma segura, lo que permite romper la contraseña maestra, según explica esta oficina, dependiente del Gobierno, en un comunicado.
Esta vulnerabilidad afecta a todos aquellos usuarios que utilicen el navegador Mozilla Firefox, o el cliente de correo Thunderbird, y almacenen sus contraseñas en los mismos, y por el momento no hay disponible una actualización o parche de seguridad con el que se solucione este fallo.
Desde Mozilla aseguran que están trabajando en sustituir el gestor de contraseñas actual por uno nuevo más seguro, denominado LockBox, que estará disponible como una extensión para Firefox con su próxima actualización.
Hasta que esto ocurra, la OSI recomienda a los usuarios que se vean afectados que eliminen las contraseñas que tienen almacenadas en estos programas, después eso sí de haberlas anotado, ya que una vez eliminadas no se podrán recuperar.
Al parecer, el fallo de seguridad fue detectado originalmente hace más de 9 años por un investigador de seguridad. Aunque este usuario informó del problema a Mozilla, no se llevaron a cabo acciones oficiales para solucionarlo, según la OSI.
«Este fallo se debe a que la contraseña maestra empleada para cifrar el resto de contraseñas almacenadas tanto en Firefox como en Thunderbird emplea un cifrado SHA-1. Actualmente este cifrado no se considera seguro, ya que a finales del año 2005 se encontraron varias vulnerabilidades con las que es posible romperlo -detallan los expertos en ciberseguridad-. Así mismo, el cifrado se ejecutaba una única vez, cuando se recomienda que se realicen por lo menos 10.000 iteraciones del mismo para que sea seguro. Por todo esto, un atacante podría descifrar la contraseña maestra en unos minutos con relativa facilidad».
✕
Accede a tu cuenta para comentar